Dado que Gartner pronostica otro aumento del 20% en el gasto en servicios de nube pública y un aumento del 7% en el gasto general en TI para 2024, mantener bajo control las subcategorías presupuestarias como la seguridad para aplicaciones en la nube y DevOps parece cada vez más doloroso.
Neil Clark, director de servicios en la nube del proveedor de servicios gestionados (MSP) QuoStar, dice que las organizaciones a menudo no han estado al día, y señala como ejemplo las infracciones de NetScaler y las vulnerabilidades sin parches del año pasado.
Elegir entre una variedad de herramientas no es fácil y algunos compran demasiadas ofertas, a menudo incompatibles. Otros simplemente eligen una solución del Cuadrante Mágico de Gartner y pasan seis meses intentando ajustarla antes de darse cuenta de que no es adecuada para sus circunstancias.
En el peor de los casos, las organizaciones pueden simplemente continuar así hasta que sean afectadas por un ataque. Entonces ¿cuál es la solución?
Para Clark, se trata de planificar adecuadamente para identificar, implementar y optimizar las soluciones adecuadas. Puede ser necesario un experto para comprenderlo todo: la perspectiva más amplia y luego qué partes encajan entre sí. Ninguna solución detendrá todo ni se adaptará a todos, y la seguridad en la nube no puede ser un ejercicio de “marcar casillas” si se quiere mantener la productividad y controlar los costos.
“Es necesario sopesar los riesgos de manera agnóstica y alinear las necesidades de seguridad con las necesidades operativas”, señala. “No tiene sentido que la seguridad supere las operaciones, sin ganar dinero, pero si te concentras demasiado en las operaciones, te expones”.
La expansión de la seguridad puede deberse más a implementaciones “extrañas y complicadas” de tres a cinco herramientas donde potencialmente una podría haber hecho el trabajo, a veces porque el entorno de la nube ha cambiado o la organización en algún momento se ha apresurado a abandonar el entorno local en lugar de hacerlo. profundizando en la planificación de la nube.
Lo que se necesita es limpiar todo eso, reelaborar y estratificar la seguridad de acuerdo con las mejores prácticas, y agregar mitigaciones esenciales, como respaldo. Clark sugiere que lograr transparencia en el entorno de datos también puede resultar crucial.
“Hemos dedicado bastante tiempo a rectificar ese tipo de cosas para los clientes. Curiosamente, no terminan gastando mucho más mensualmente”, dice Clark. “No se limite a trasladar sus problemas de seguridad a la nube… no todo funcionará de forma nativa en la nube. [Think about] qué necesita para acceder a sus aplicaciones y qué no”.
Andrew Green, analista de investigación de redes y seguridad de GigaOm, recomienda elegir servicios de seguridad nativos de la nube de una pila adecuada como clave para optimizar la seguridad de la nube desde una perspectiva de costos.
Las interfaces de red de contenedores (CNI) de código abierto para Kubernetes y contenedores, como Calico y Cilium, tienen capacidades de seguridad “excelentes” para controles de acceso y filtrado de tráfico, todo ello realizado en la capa de red sin ningún otro agente o componente.
“Cuando se hace networking en Kubernetes, no ofrecen capacidades nativas”, señala Green.
Aunque los CNI pueden ser soluciones más bien técnicas que requieren configuración y potencialmente un conjunto de habilidades aumentado, pueden manejar comunicaciones dentro de bots o clústeres y entre clústeres, y pueden ayudar a definir políticas, determinando qué necesita hablar con los controles de acceso de cada uno, haciendo seguridad basada en la identidad.
“En lugar de decir: ‘Quiero bloquear el acceso a este recurso IP’, puede asignar una etiqueta a una carga de trabajo”, afirma Green. “Y lo haces muy cerca del kernel de Linux. Es liviano, tienes mucho control y puedes hacer muchas cosas”.
Si configurar CNI con la interfaz de línea de comandos o mediante una integración es demasiado difícil, quizás opte por trabajar a través de la interfaz gráfica de usuario (GUI). Calico et al ofrecen buena documentación técnica, laboratorios y capacitación para ayudar, dice.
Alternativamente, las capacidades de código cerrado pueden ser parte de una solución más amplia como F5, si ya existe internamente, sugiere Green.
Reducir la exposición
Ser consciente y limitar los recursos expuestos y vulnerables. Si no está expuesta a la Internet pública, es posible que la organización solo necesite un filtrado de ingreso “simple y directo”. Los servicios web y públicos expuestos a Internet para consumidores o terceros requieren funciones de filtrado de ingreso más sofisticadas que tienen un precio.
Protección de Yahoo! Los robots de filtrado o la denegación de servicio distribuido (DDoS) del tráfico de compradores pueden requerir una “gran inversión”, señala Green.
“Esto no es específicamente para el cumplimiento, sino para la postura general de seguridad”, añade. “Si todo a lo que estás expuesto es quizás solo una API de socio [application programming interface]es posible que solo necesite algo de protección API que pueda validar las solicitudes”.
Además, no levante ni cambie el pensamiento local. Por ejemplo, implementar un firewall completo o dispositivos de firewall de próxima generación para crear segmentos de nube es costoso e ineficiente. Es mejor buscar tecnologías que utilicen atributos nativos de la nube, como etiquetas o rótulos, que puedan migrar con la carga de trabajo, afirma Green.
Kris Lovejoy, líder global de seguridad y resiliencia de Kyndryl, opina que la seguridad en la nube a menudo se ha visto frenada por desafíos relacionados con el legado, y esa es en parte la razón por la que hace años se hablaba de “enormes beneficios de seguridad”, junto con el rendimiento y la escalabilidad de la nube. no se han desarrollado como se predijo.
A menudo se ha descuidado la necesidad de refactorizar las aplicaciones para que sean nativas de la nube.
“La refactorización puede ser una discusión muy difícil con las juntas directivas y la dirección ejecutiva”, afirma. “Pero las aplicaciones heredadas contienen credenciales codificadas, configuraciones inseguras, métodos de cifrado obsoletos y, a menudo, cuando se pasa a la nube, contenedores”.
Las aplicaciones heredadas a menudo pueden presentar las mismas vulnerabilidades que tendrían en un entorno local, además de la complejidad encapsulada de la contenedorización. La contenedorización es en sí misma una fuente de “cantidades masivas” de posibles exposiciones relacionadas con la configuración, explica Lovejoy.
Si bien las organizaciones reconocen los problemas de seguridad, la forma en que se han construido e implementado las aplicaciones (a menudo soluciones heredadas de bajo rendimiento) y los entornos ha dejado enormes cantidades de deuda técnica.
¿Qué tan atrás están algunos? Cuando se trata de procesos de desarrollo en la nube, la encuesta de Enterprise Strategy Group encontró que un tercio de los equipos de seguridad de los encuestados tenían visibilidad y control insuficientes, omitieron controles de seguridad y pruebas de lanzamientos, carecían de procesos de seguridad consistentes entre equipos, omitieron la seguridad para cumplir con los plazos o implementaron con configuraciones erróneas, vulnerabilidades y “otros problemas de seguridad”.
Garantizar conocimientos básicos sólidos
Lovejoy señala que múltiples entornos de nube híbrida necesitan integración para ofrecer la portabilidad y la interoperabilidad necesarias. A menudo, incluso el sueño de la analítica avanzada se ve afectado.
“Esa complejidad ha resultado en costos completamente inesperados. Sin embargo, no estaba optimizado para la nube”, afirma Lovejoy. “Tienen ineficiencia de recursos, mala utilización y mayores costos de alojamiento y nube, debido al enorme consumo”.
Están en una especie de trampa de pobreza de TI, por así decirlo. En tales circunstancias, el gasto en seguridad puede parecer un extra no deseado.
Para Lovejoy, la mejor solución podría implicar retroceder en lo que a menudo se denomina modernización –retroceder– con el fin de construir una base más sólida sobre la cual, en última instancia, construir. Incluso si eso significa ir a una nube privada o local, reiniciar la gran nube avanza en el camino.
“La nube puede proporcionar beneficios, seguridad y resiliencia, pero es posible que la organización necesite realizar una inversión adecuada en la refactorización real de las aplicaciones”, afirma, “en lugar de improvisar muchos controles de seguridad, por ejemplo”.
Esto es “particularmente relevante” considerando la expansión y el alcance de la regulación emergente, incluso sobre el uso de datos y la transparencia.
En lugar de centrarse exclusivamente en la seguridad separada del resto, sugiere Lovejoy, las organizaciones deben pensar en cuáles son sus “servicios empresariales mínimos viables” para permitir el funcionamiento de las organizaciones, los datos y los sistemas. Planifique todo eso y luego priorice la resiliencia de la seguridad en torno a eso.
Ahí es donde las organizaciones deberían invertir para, en última instancia, optimizar los costos de la nube, incluida la seguridad, enfatiza.
“Si bien la confianza cero es excelente, realmente debería implementarse en el contexto de una arquitectura más moderna. Considere lo básico: ¿tiene autenticación multifactor (MFA), capacitación y buenos parches? – antes de llegar a ZTNA [zero-trust network access].”